🔐 Renforcer la sécurité TLS de Windows Server avec IIS Crypto

Dans un contexte où la sécurité réseau est plus que jamais une priorité, IIS Crypto s’impose comme l’outil indispensable pour configurer de manière centralisée et sécurisée les protocoles TLS, SSL, les suites de chiffrement, et les algorithmes cryptographiques utilisés par Windows Server.

Ce guide complet vous explique comment installer IIS Crypto (GUI ou CLI), comment l’utiliser pour activer TLS 1.2 / 1.3, désactiver les suites vulnérables (RC4, 3DES), et appliquer les meilleures pratiques de sécurité en quelques clics. L’article couvre également l’installation via Chocolatey et les cas d’usage typiques dans des environnements IIS, RDS ou VPN SSL.

---

🔧 Qu’est-ce que IIS Crypto ?

IIS Crypto est un outil gratuit développé par Nartac Software, destiné aux administrateurs système souhaitant :

• Activer/désactiver les protocoles TLS/SSL (SSLv3, TLS 1.0, TLS 1.2, TLS 1.3…)
• Gérer l’ordre des suites de chiffrement utilisées par Schannel (stack SSL de Windows)
• Appliquer les recommandations de sécurité de Microsoft ou de l’ANSSI
• Exporter/importer des configurations en masse
• Automatiser via ligne de commande (CLI)

---

🚀 Installation de IIS Crypto (GUI & CLI)

💡 Option 1 : téléchargement manuel

Rendez-vous sur la page officielle : https://www.nartac.com/Products/IISCrypto pour télécharger :

• La version graphique (IISCrypto.exe)
• La version CLI pour les déploiements automatisés

💻 Option 2 : installation via Chocolatey (recommandée)

Pour automatiser l’installation, utilisez le gestionnaire de paquets Windows Chocolatey :

choco install iiscrypto -y

Cette commande installe la version graphique sur votre serveur. Pour la version CLI :

choco install iiscrypto-cli -y

---

🧰 Fonctionnalités principales de IIS Crypto

• Activer/Désactiver TLS 1.2 / 1.3 en un clic
• Bloquer SSL 2.0 / SSL 3.0 (considérés comme vulnérables)
• Réordonner les suites de chiffrement pour forcer les algorithmes modernes comme AES256-GCM et ECDHE
• Appliquer des modèles de configuration comme « Best Practices », « PCI 3.2 », « FIPS 140-2 »
• Sauvegarder/restaurer des configurations de registre (Export/Import .reg)

---

📌 Utilisation pas à pas

1. Lancer IIS Crypto

Depuis l’interface graphique (`IISCrypto.exe`), vous accédez à 4 onglets :

• Protocols (TLS, SSL, DTLS…)
• Ciphers (RC4, AES…)
• Hashes (SHA1, SHA256…)
• Key Exchanges (Diffie-Hellman, ECDHE…)

2. Appliquer les meilleures pratiques

Cliquez sur le bouton « Best Practices » pour appliquer les recommandations officielles :

• Activation TLS 1.2 / 1.3
• Désactivation SSL, RC4, MD5
• Réorganisation des suites de chiffrement

3. Appliquer et redémarrer

Après validation, cliquez sur « Apply » puis redémarrez le serveur pour appliquer les modifications dans la pile Schannel.

---

💻 Utilisation en ligne de commande (IIS Crypto CLI)

Pour automatiser les déploiements (ex : via GPO, scripts Ansible/Puppet), la version CLI permet :

iiscryptocli.exe /template best /reboot

Autres commandes utiles :

iiscryptocli.exe /backup myconfig.reg
iiscryptocli.exe /restore myconfig.reg
iiscryptocli.exe /template pci /noreboot

---

📈 Cas d’usage typiques

Contexte	Objectif	Actions recommandées
🔐 Sécuriser un site IIS interne	Activer TLS 1.2 / 1.3, désactiver SSL	« Best Practices »
🖥️ Remote Desktop Services (RDS)	Assurer la compatibilité TLS et le SSO	Activer TLS 1.2 uniquement
🌐 VPN SSL (RRAS, NPS, etc.)	Forcer ECDHE + AES-GCM	Réordonner suites de chiffrement
📜 Conformité PCI-DSS ou ANSSI	Respecter une configuration minimale sécurisée	Choisir modèle PCI 3.2
📡 Serveur legacy (2008 R2)	Forcer support TLS 1.2	Ajouter clés de registre manuellement ou via IIS Crypto

---

🔐 IIS Crypto et sécurité TLS/SSL

Grâce à IIS Crypto, vous pouvez :

• Éviter les erreurs du type ERR_SSL_VERSION_OR_CIPHER_MISMATCH
• Être conforme aux exigences des navigateurs modernes (Chrome, Edge, Firefox)
• Renforcer la sécurité sans manipuler directement le registre Windows

---

📦 Export et déploiement à l’échelle

IIS Crypto permet d’exporter les paramètres TLS dans un fichier `.reg` pour les déployer :

iiscryptocli.exe /backup config-secure.reg

Puis sur les autres serveurs :

reg import config-secure.reg

---

📑 Conclusion

IIS Crypto est un outil simple, puissant et gratuit pour sécuriser vos environnements Windows Server. Il permet de contrôler précisément les protocoles TLS, les suites de chiffrement et les algorithmes cryptographiques utilisés par la pile Schannel, tout en automatisant leur déploiement via ligne de commande ou GPO.

Grâce à son intégration avec Chocolatey, vous pouvez l’installer en quelques secondes sur tous vos serveurs.

---

🔍 Mots-clés SEO

iis crypto, tls windows server, désactiver ssl windows, tls 1.2 windows 2008 r2, iis crypto chocolatey, renforcer sécurité iis, tls 1.3 schannel, configurer protocole tls windows, err_ssl_version_or_cipher_mismatch, nartac iiscrypto